ITIL 4官方核心著作
01 ITIL资产评估准则及常见威胁
由 superadmin 于 2024/06/05, 11:14 最后修改
复制
导出
注释
打印预览
查看源代码
子项
评论
附件
历史记录
信息
ITIL资产评估准则及常见威胁
风险评估准则
| 风险评估准则 | |||||||||||
| 资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值 风险值计算方法: 风 险 值 = 资产等级+威胁性赋值+脆弱性赋值 资产等级、风险等级评定方法:见下 | |||||||||||
| 要素 | 准则 | 数据资产 | 实体资产 | 自有软件/外购软件/服务/形象 | 文件资产 | 人员资产 | |||||
| 保密性 | 按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级 | 访问权限 | 赋值 | 存储、传输及处理信息的访问权限 | 赋值 | 存储、传输及处理信息的访问权限 | 赋值 | 存储、传输及处理信息的访问权限 | 赋值 | 岗位接触信息的访问权限 | 赋值 |
| 对公司及外部都是公开的 | 1 | 对公司及外部都是公开的 | 1 | 对公司及外部都是公开的 | 1 | 对公司及外部都是公开的 | 1 | 对公司及外部都是公开的 | 1 | ||
| 对公司内部所有员工是公开的 | 3 | 对公司内部所有员工是公开的 | 3 | 对公司内部所有员工是公开的 | 3 | 对公司内部所有员工是公开的 | 3 | 对公司内部所有员工是公开的 | 3 | ||
| 只限于公司某个部门或职能可以访问的信息 | 5 | 只限于公司某个部门或职能可以访问的信息 | 5 | 只限于公司某个部门或职能可以访问的信息 | 5 | 只限于公司某个部门或职能可以访问的信息 | 5 | 只限于公司某个部门或职能可以访问的信息 | 5 | ||
| 只限于公司中层管理人员以上或部门少数关键人员可以访问的信息 | 7 | 只限于公司中层管理人员以上或部门少数关键人员可以访问的信息 | 7 | 只限于公司中层管理人员以上或部门少数关键人员可以访问的信息 | 7 | 只限于公司中层管理人员以上或部门少数关键人员可以访问的信息 | 7 | 只限于公司中层管理人员以上可以访问的信息 | 7 | ||
| 只限于公司高层管理人员或公司少数关键人员可以访问的信息 | 9 | 只限于公司高层管理人员或公司少数关键人员可以访问的信息 | 9 | 只限于公司高层管理人员或公司少数关键人员可以访问的信息 | 9 | 只限于公司高层管理人员或公司少数关键人员可以访问的信息 | 9 | 只限于公司高层管理人员或少数关键人员可以访问的信息 | 9 | ||
| 要素 | 准则 | 数据资产 | 实体资产 | 自有软件/外购软件/服务/形象 | 文件资产 | 人员资产 | |||||
| 完整性 | 按资产的准确性或完整性受损,而造成组织的业务持续或形象声誉受影响的严重程度来评估 | 影响程度 | 赋值 | 影响程度 | 赋值 | 影响程度 | 赋值 | 文件类别 | 赋值 | 岗位范围 | 赋值 |
| 可以忽略 | 1 | 可以忽略 | 1 | 可以忽略 | 1 | 可以忽略 | 1 | 实习员工\外聘临时工 | 1 | ||
| 轻微 | 3 | 轻微 | 3 | 轻微 | 3 | 轻微 | 3 | 一般员工 | 3 | ||
| 一般 | 5 | 一般 | 5 | 一般 | 5 | 一般 | 5 | 技术、管理、财务等方面的骨干人员 | 5 | ||
| 严重 | 7 | 严重 | 7 | 严重 | 7 | 严重 | 7 | 中层管理人员 | 7 | ||
| 非常严重 | 9 | 非常严重 | 9 | 非常严重 | 9 | 非常严重 | 9 | 高层管理人员 | 9 | ||
| 要素 | 准则 | 数据资产 | 实体/服务资产 | 文件/软件资产 | 形象资产 | 人员资产 | |||||
| 可用性 | 按资产使用或允许中断的时间次数来评估 | 数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例 | 赋值 | 每次中断允许时间 | 赋值 | 使用频次要求 | 赋值 | 使用频次 | 赋值 | 允许离岗时间 | 赋值 |
| 16次以上或全部工作时间中断 | 1 | 3天以上 | 1 | 每年都要使用至少1次 | 1 | 每年都要使用至少1次 | 1 | 10个工作日及以上 | 1 | ||
| 9-15次或1/2工作时间中断 | 3 | 1-3天 | 3 | 每个季度都要使用至少1次 | 3 | 每个季度都要使用至少1次 | 3 | 6-9工作日 | 3 | ||
| 3-8次或1/4工作时间中断 | 5 | 12小时-1天 | 5 | 每个月都要使用至少1次 | 5 | 每个月都要使用至少1次 | 5 | 3-5个工作日 | 5 | ||
| 1-2次或1/8工作时间中断 | 7 | 3小时-12小时 | 7 | 每周都要使用至少1次 | 7 | 每周都要使用至少1次 | 7 | 2个工作日 | 7 | ||
| 不允许 | 9 | 0-3小时 | 9 | 每天都要使用至少1次 | 9 | 每天都要使用至少1次 | 9 | 1个工作日 | 9 | ||
| 要素 | 标识 | 相对价值范围 | 等级 | 资产重要程度 | |
| 资产等级 | 很高 | 23,25,27 | 4 | 重要资产 | |
| 高 | 17,19,21 | 3 | 一般资产 | ||
| 一般 | 11,13,15 | 2 | 一般资产 | ||
| 低 | 3,5,7,9 | 1 | 一般资产 | ||
| 要素 | 标识 | 发生的频率 | 等级 | |
| 威胁利用弱点导致危害的可能性 | 很高 | 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 | 5 | |
| 高 | 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 | 4 | ||
| 一般 | 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过 | 3 | ||
| 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 | 2 | ||
| 很低 | 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 | 1 | ||
| 要素 | 标识 | 严重程度 | 等级 | |
| 脆弱性被威胁利用后的严重性 | 很高 | 如果被威胁利用,将对公司重要资产造成重大损害 | 5 | |
| 高 | 如果被威胁利用,将对重要资产造成一般损害 | 4 | ||
| 一般 | 如果被威胁利用,将对一般资产造成重要损害 | 3 | ||
| 低 | 如果被威胁利用,将对一般资产造成一般损害 | 2 | ||
| 很低 | 如果被威胁利用,将对资产造成的损害可以忽略 | 1 | ||
| 要素 | 标识 | 风险值范围 | 级别 | 可接受准则 | |
| 风险级别 | 高风险 | 12~14 | 4 | 风险不可接受,必须立即采取控制措施降低风险 | |
| 较高风险 | 9~11 | 3 | 风险可以接受,但需要采取进一步措施降低风险或在威胁发生时采取处理措施 | ||
| 一般风险 | 6~8 | 2 | 风险可以接受,可以保持目前的控制措施 | ||
| 低风险 | 3~5 | 1 | |||
常见威胁
| 常见威胁 | |||||||
| ID | 威胁 | 威胁方 | 影响资产 | 利用弱点 | 可能性 | 影响 | 风险 |
| R01 | 篡改 | 恶意人员 | 业务数据 | 系统缺陷,网络缺陷 | 低 | 高 | 低 |
| R02 | 传输信息泄漏 | 恶意人员 | 业务数据 | 网络线路 | 中 | 高 | 中 |
| R03 | 配置错误 | 维护人员 | 应用系统,业务数据 | 运行管理流程缺陷 | 中 | 中 | 低 |
| R04 | 冒名访问 | 恶意人员 | 业务数据 | 运行管理流程缺陷、帐户口令泄漏 | 低 | 高 | 高 |
| R05 | 病毒感染 | 维护人员、用户 | 业务数据,应用系统 | 系统缺陷、运行管理缺陷 | 低 | 高 | 低 |
| R06 | 业务信息泄漏 | 用户 | 业务数据 | 运行管理流程缺陷 | 低 | 高 | 低 |
| R07 | 攻击 | 恶意人员 | 应用系统,业务数据 | 系统缺陷,网络缺陷 | 中 | 高 | 高 |
| R08 | 操作抵赖 | 维护人员,用户 | 应用系统,业务数据 | 操作记录 | 低 | 中 | 低 |
| R09 | 越权访问 | 用户 | 应用系统,业务数据 | 系统配置缺陷 | 中 | 低 | 低 |
| R10 | 设备物理破坏 | 恶意人员 | 应用系统,业务数据 | 设备物理安全漏洞 | 低 | 高 | 低 |
威胁分类表
| 种类 | 描述 | 威胁子类 |
| 软硬件故障 | 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 | 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 |
| 物理环境影响 | 对信息系统正常运行造成影响的物理环境问题和自然灾害 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 |
| 无作为或操作失误 | 应该执行而没有执行相应的操作,或无意执行了错误的操作 | 维护错误、操作失误等 |
| 管理不到位 | 安全管理无法落实或不到位,从而破坏信息系统正常有序运行 | 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 |
| 恶意代码 | 故意在计算机系统上执行恶意任务的程序代码 | 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 |
| 越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为 | 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 |
| 网络攻击 | 利用工具和技术通过网络对信息系统进行攻击和入侵 | 网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 |
| 物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏 | 物理接触、物理破坏、盗窃等 |
| 泄密 | 信息泄露给不应了解的他人 | 内部信息泄露、外部信息泄露等 |
| 篡改 | 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用 | 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 |
| 抵赖 | 不承认收到的信息和所作的操作和交易 | 原发抵赖、接收抵赖、第三方抵赖等 |
常见脆弱性
| 序号 | 类别 | 薄弱点 | 威胁 |
| 1. | 环境和基础设施 | 建筑物/门以及窗户缺少物理保护 | 例如,可能会被偷窃这一威胁所利用 |
| l | 对建筑物\房间物理进入控制不充分,或松懈 | 可能会被故意损害这一威胁所利用 | |
| l | 电网不稳定 | 可能会被功率波动这一威胁所利用 | |
| l | 所处位置容易受到洪水袭击 | 可能会被洪水这一威胁所利用 | |
| 2. | 硬件 | 缺少定期替换计划 | 可能会被存储媒体退化这一威胁所利用 |
| l | 容易受到电压不稳定的侵扰 | 可能会被功率波动这一威胁所利用 | |
| l | 容易受到温度变化的侵扰 | 可能会温度的极端变化这一威胁所利用 | |
| l | 容易受到湿度、灰尘和污染的侵扰 | 可能会被灰尘这一威胁所利用 | |
| l | 对电磁辐射的敏感性 | 可能会被电磁辐射这一威胁所利用 | |
| l | 不充分的维护/存储媒体的错误安装 | 可能会被维护失误这一威胁所利用 | |
| l | 缺少有效的配置变化控制 | 可能会被操作职员失误这一威胁所利用 | |
| 3. | 软件 | 开发人员的说明不清楚或不完整 | 可能会被软件故障这一威胁所利用 |
| l | 没有软件测试或软件测试不充分 | 可能会被未经授权许可的用户使用软件这一威胁所利用 | |
| l | 复杂的用户界面 | 可能会被操作职员失误这一威胁所利用 | |
| l | 缺少识别和鉴定机制,如:用户鉴定 | 可能会被冒充用户身份这一威胁所利用 | |
| l | 缺少审核跟踪 | 可能会被以未经授权许可的方式使用软件这一威胁所利用 | |
| l | 软件中存在众所周知的缺陷 | 可能会被软件未经许可的用户使用软件这一威胁所利用 | |
| l | 口令表没有受到保护 | 可能会被冒充用户身份这一威胁所利用 | |
| l | 口令管理较差(很容易被猜测,公开地存储口令,不经常更改) | 可能会被冒充用户身份这一威胁所利用 | |
| l | 访问权的错误分派 | 可能会被以未经许可的方式使用软件这一威胁所利用 | |
| l | 对下载和使用软件不进行控制 | 可能会被恶意软件这一威胁所利用 | |
| l | 离开工作站没有注销用户 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| l | 缺少有效的变化控制 | 可能会被软件故障这一威胁所利用 | |
| l | 缺少文件编制 | 可能会被操作职员的失误这一威胁所利用 | |
| l | 缺少备份 | 可能会被恶意软件或火灾这一威胁所利用 | |
| l | 没有适当的擦除而对存储媒体进行处理或重新使用 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| 4. | 通讯 | 通讯线路没有保护 | 可能会被偷听这一威胁所利用 |
| l | 电缆连接差 | 可能会被通讯渗透这一威胁所利用 | |
| l | 对发件人和收件人缺少识别和鉴定 | 可能会被冒充用户身份这一威胁所利用 | |
| l | 公开传送口令 | 可能会被未经许可的用户接入网络这一威胁所利用 | |
| l | 收发信息缺少验证 | 可能会被否认这一威胁所利用 | |
| l | 拨号线路 | 可能会被未经许可的用户接入网络这一威胁所利用 | |
| l | 对敏感性通信不进行保护 | 可能会被偷听这一威胁所利用 | |
| l | 网络管理不充分(路由的弹性) | 可能会被通信量超载这一威胁所利用 | |
| l | 公共网络连接没有保护 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| 5. | 文件 | 存储没有保护 | 可能会被偷窃这一威胁所利用 |
| l | 进行处理时缺少关注 | 可能会被偷窃这一威胁所利用 | |
| l | 对拷贝没有进行控制 | 可能会被偷窃这一威胁所利用 | |
| 6. | 人员 | 人员缺席 | 可能会被缺少员工这一威胁所利用 |
| l | 对外部人员和清理人员的工作不进行监督 | 可能会被偷窃这一威胁所利用 | |
| l | 不充分的安全培训 | 可能会被操作职员的失误这一威胁所利用 | |
| l | 缺少安全意识 | 可能会被用户错误这一威胁所利用 | |
| l | 对软件和硬件不正确的使用 | 可能会被操作职员的失误这一威胁所利用 | |
| l | 缺少监控机制 | 可能会被以未经许可的方式使用软件这一威胁所利用 | |
| l | 在正确使用通讯媒体和信息方面缺乏政策 | 可能会被以未经许可的方式使用网络设施这一威胁所利用 | |
| l | 增员程序不充分 | 可能会被故意损害这一威胁所利用 | |
| 7. | 一般都适用的薄弱环节 | 某一点上的故障 | 可能会被通讯服务故障这一威胁所利用 |
| l | 服务维护反应不足 | 可能会被硬件故障这一威胁所利用 |
脆弱性识别内容表
| 类型 | 识别对象 | 识别内容 |
| 技术脆弱性 | 物理环境 | 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 |
| 网络结构 | 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 | |
| 系统软件 | 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 | |
| 应用中间件 | 从协议安全、交易完整性、数据完整性等方面进行识别 | |
| 应用系统 | 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 | |
| 管理脆弱性 | 技术管理 | 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 |
| 组织管理 | 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 | |